ENTREVISTA A APPLUS+
APPLUS+ es una de las empresas líderes mundiales en el sector de la inspección, los ensayos y la certificación.
Es entidad acreditada por ENAC para certificar el cumplimiento del Esquema Nacional de Seguridad y dispone de Habilitación de Seguridad de Empresa (HSEM) en vigor.
Hoy, desde GRUPO INGERTEC hablamos con Jorge Castro Marín Lead Auditor de esta certificadora de prestigio sobre la certificación del Esquema Nacional de Seguridad.
Entrevista con Jorge Castro, Lead Auditor APPLUS+
¿Por qué es tan importante la certificación en el Esquema Nacional de Seguridad?
La certificación en el Esquema Nacional de Seguridad, es fundamental para que las empresas públicas que prestan servicio a la ciudadanía y las propias empresas privadas proveedoras de servicios de la administración pública garanticen unas condiciones mínimas de seguridad al ciudadano.
¿Cómo sabe una empresa o entidad pública el nivel bajo el cual debe de certificarse?
El Esquema Nacional de Seguridad establece una serie de medidas de seguridad en su Anexo II que están condicionadas a la valoración del nivel de seguridad en cada dimensión, y a la categoría (artículo 43) del sistema de información de que se trate. Esta categoría se calcula en función del nivel de seguridad más alto de las dimensiones valoradas.
El nivel y la categoría quedan establecidas según la legislación del ENS aportando una serie de criterios generales para determinar si los requisitos de seguridad son de nivel ALTO, MEDIO o BAJO en cada una de las dimensiones de seguridad que son: la confidencialidad, la integridad, la disponibilidad, la autenticidad y la trazabilidad.
¿En líneas generales, en qué consiste una auditoría de Esquema Nacional de Seguridad?
Como toda auditoría de sistemas de las tecnologías de la información, incluye normalmente, los aspectos de seguridad de los sistemas y debe realizarse de una forma metodológica que permita identificar claramente distintos puntos:
-
- El Alcance y Objetivo de la Auditoría.
- Los recursos necesarios y apropiados para realizar la auditoría (equipo auditor).
- Las debidas comunicaciones con los responsables de la organización que soliciten la auditoría.
- La planificación preliminar o requisitos de información previos al desarrollo del plan de auditoría, y a la ejecución de las pruebas que se consideren necesarias.
- El establecimiento de un plan de auditoría detallado con las actividades, revisiones y pruebas de auditoría previstas.
- La presentación, de los resultados individuales de las pruebas, a las personas involucradas con estos resultados, para su confirmación sin valoraciones con respecto a los resultados finales.
- La evaluación global de los resultados de la auditoría en relación con el objetivo y alcance definidos y a los requisitos del RD 3/2010.
- La confección, presentación y emisión formal del Informe de Auditoría.
La metodología aplicada debe permitir comprobar, a través de los registros y evidencias de auditoría, la consecución de estos pasos, las limitaciones que se hayan podido producir en el desarrollo de las tareas, y las actividades realizadas.
Para una consecución eficaz de la auditoría, el equipo auditor verificará que las medidas de seguridad para el sistema auditado se ajustan a los principios básicos del RD 3/2010 y satisfacer los requisitos mínimos de Seguridad.
¿Cómo funciona el esquema de certificación? ¿Por cuánto tiempo se emite el certificado? ¿Hay que hacer renovación anual?
Las auditorías de Conformidad con el ENS y la emisión de una certificación es la garantía de seguridad de los sistemas de información de las entidades públicas y de las organizaciones del sector privado prestadoras de servicios sujetos al cumplimiento del ENS, por lo que las Entidades de Certificación del ENS deben actuar con la mayor profesionalidad y rigor, garantizando la calidad y los resultados de las auditorías y la generación de los certificados.
Se debe definir con precisión el alcance de la auditoría, mediante la adecuada determinación de los sistemas de información comprendidos en la misma y los servicios prestados por medio de tales sistemas, tanto los sistemas de información, como los servicios sustentados en tales sistemas deberán aparecer explícitamente mencionados en el Certificado que se expida. Este certificado tiene una vigencia de 2 años, fecha en la que se deber realizar de nuevo la auditoria de conformidad con el ENS. No se audita anualmente.
¿Qué ocurre si en la auditoría se detecta que no se cumple con alguna de las medidas que aplican a la empresa?
Hay dos posibles escenarios de auditoría desfavorable:
“Favorable con No Conformidades”: Cuando se evidencien “No Conformidades Menores”. y/o “No Conformidades Mayores”. En este caso, la entidad titular responsable del sistema de información auditado deberá presentar, en el plazo máximo de un mes, un Plan de Acciones Correctivas (PAC) sobre tales desviaciones a la entidad certificadora para su evaluación.
“Desfavorable”: Cuando exista un número significativo de No Conformidades Mayores cuya solución no pueda evidenciarse a través de un Plan de Acciones Correctivas y requiere la comprobación in-situ de su correcta implantación a través de una auditoría extraordinaria.
Tengo que resaltar que el Centro Criptológico Nacional pone a nuestra disposición una guía que mantiene permanentemente actualizada y ofrece pautas de ayuda para el dictamen final del informe de la Auditoría.
¿Por qué es importante contar con un asesoramiento externo previo a la certificación del ENS?
Desde mi punto de vista, al ser una norma bastante técnica en algunos conceptos, es interesante que la entidad que desee certificarse en ENS cuente con la ayuda de una empresa consultora especializada, ellos aportan personal cualificado y especializado en cada área aportando su conocimiento y experiencia.
¿Cuáles son los valores diferenciales de Applus+ como entidad de certificación para el ENS?
APPLUS+ es la Entidad de Certificación Acreditada que cuenta con más número de Certificados emitidos de ENS a nivel Nacional, también cuenta con el mayor número de auditores cualificados para poder afrontar las auditorías de este esquema, por ello creo que es la entidad con mayor experiencia y fiabilidad para Certificar Esquema Nacional de seguridad en cualquiera de sus categorías.